Az ügyfél által felügyelt kulcs (CMK) beállítása az adatok nyugalmi állapotban történő titkosításához egy Azure DocumentDB-fürthöz

Ebből a cikkből megtudhatja, hogyan konfigurálhatja az ügyfél által felügyelt kulcsot (CMK) inaktív adattitkosításhoz az Azure DocumentDB-ben. Az útmutató lépései új Azure DocumentDB-fürtöt, replikafürtöt vagy visszaállított fürtöt konfigurálnak. A CMK beállítása egy Azure Key Vaultban tárolt, ügyfél által felügyelt kulcsot és felhasználó által hozzárendelt felügyelt identitást használ.

Előfeltételek

• Azure-előfizetés

  • Ha nem rendelkezik Azure-előfizetéssel, hozzon létre egy ingyenes fiókot

• Használja a Bash-környezetet az Azure Cloud Shellben. További információ: Az Azure Cloud Shell használatának első lépései.

  

• Ha a CLI referencia parancsokat helyben szeretnéd futtatni, telepítsd az Azure CLI-t. Ha Windows vagy macOS rendszeren fut, fontolja meg az Azure CLI-t egy Docker-konténerben futtatni. További információkért lásd: Az Azure CLI használata Docker-konténerben.

  • Ha egy helyileg telepített verziót használ, jelentkezzen be az Azure CLI-be az az login parancs futtatásával. Az azonosítási folyamat befejezéséhez kövesse a terminálján megjelenő lépéseket. További bejelentkezési lehetőségekért lásd: Hitelesítés az Azure-ba az Azure CLI használatával.

  • Amikor megjelenik a felszólítás, az első használatkor telepítse az Azure CLI bővítményt. További információ a bővítményekről: Bővítmények használata és kezelése az Azure CLI-vel.

  • Futtasd a az version parancsot, hogy megtudd a telepített verziót és függő könyvtárakat. A legújabb verzióra való frissítéshez futtassa a az upgrade parancsot.

A felhasználó által hozzárendelt felügyelt identitás és az Azure Key Vault előkészítése

Ha ügyfél által felügyelt kulcstitkosítást szeretne konfigurálni az Azure DocumentDB for MonogDB-fürtön, szüksége van egy felhasználó által hozzárendelt felügyelt identitásra, egy Azure Key Vault-példányra és az engedélyek megfelelő konfigurálására.

Fontos

A felhasználó által hozzárendelt felügyelt identitásnak és a CMK konfigurálásához használt Azure Key Vault-példánynak ugyanabban az Azure-régióban kell lennie, ahol az Azure DocumentDB-fürt üzemel, és mindegyik ugyanahhoz a Microsoft-bérlőhöz tartozik.

Az Azure Portal használata:

1. Hozzon létre egy felhasználó által hozzárendelt felügyelt identitást a fürtrégióban, ha még nem rendelkezik ilyennel.

2. Hozzon létre egy Azure Key Vaultot a fürtrégióban, ha még nem hozott létre egy kulcstárolót. Győződjön meg arról, hogy megfelel a követelményeknek. A kulcstároló konfigurálása előtt és a kulcs létrehozása előtt kövesse a javaslatokat , és rendelje hozzá a szükséges engedélyeket a felhasználó által hozzárendelt felügyelt identitáshoz.

3. Hozzon létre egy kulcsot a kulcstárolóban.

4. Adjon felhasználó által hozzárendelt felügyelt identitásengedélyeket az Azure Key Vault-példánynak a követelményeknek megfelelően.

Adattitkosítás konfigurálása ügyfél által felügyelt kulccsal a fürt kiépítése során

Portál

1. Új Azure DocumentDB-fürt kiépítése során a fürt adattitkosításához szolgáltatás által felügyelt vagy ügyfél által felügyelt kulcsokat konfigurálják a Titkosítás lapon. Válassza ki az ügyfélkezelt kulcsot az adattitkosításhoz.

   

2. A felhasználó által hozzárendelt felügyelt identitás szakaszban válassza az Identitás módosítása lehetőséget.

   

3. A felhasználó által hozzárendelt felügyelt identitások listájában válassza ki azt, amelyet a fürt használni szeretne az Azure Key Vaultban tárolt adattitkosítási kulcs eléréséhez.

   

4. Válassza a Hozzáadás lehetőséget.

   

5. A Kulcsválasztási módszerben válassza a Kulcs kiválasztása lehetőséget.

6. A Kulcs szakaszban válassza a Kulcs módosítása lehetőséget .

   

7. A Kulcs kiválasztása panelen válassza ki az Azure Key Vaultot a Kulcstartóban és a kulcs titkosítási kulcsát, és a Kiválasztás gombra kattintva erősítse meg a választásokat.

   

   Fontos

   A kiválasztott Azure Key Vault-példánynak ugyanabban az Azure-régióban kell lennie, ahol az Azure DocumentDB-fürt üzemelni fog.

8. Erősítse meg a kiválasztott felhasználó által hozzárendelt felügyelt identitást és titkosítási kulcsot a Titkosítás lapon, majd válassza a Felülvizsgálat + létrehozás lehetőséget a fürt létrehozásához.

   

REST API-k

A felhasználó által hozzárendelt titkosítási kulccsal engedélyezheti az adattitkosítást, miközben új fürtöt épít ki egy az rest parancson keresztül.

1. Hozzon létre egy JSON-fájlt a következő tartalommal. Cserélje le a jellel $ kezdődő helyőrzőket a tényleges értékekre, és mentse a fájlt.

   {
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
             "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
           }
         },
     "location": "$regionName",
         "properties": {
           "administrator": {
             "userName": "$adminName",
             "password": "$complexPassword"
           },
           "serverVersion": "8.0",
           "storage": {
             "sizeGb": 32
           },
           "compute": {
             "tier": "M40"
           },
           "sharding": {
             "shardCount": 1
           },
           "highAvailability": {
             "targetMode": "ZoneRedundantPreferred"
           },
         "encryption": {
             "customerManagedKeyEncryption": {
               "keyEncryptionKeyIdentity": {
                 "identityType": "UserAssignedIdentity",
                 "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
               },
               "keyEncryptionKeyUrl": "$encryptionKeyUrl"
             }
           }
         }
   }
   

   Megjegyzés:

   A keyEncryptionKeyUrl kulcsnak tartalmaznia kell a kulcs nevét, de nem tartalmazhat egy adott kulcsverziót.

2. Futtassa a következő Azure CLI-parancsot egy Azure DocumentDB-fürt létrehozásához REST API-hívás segítségével. Cserélje le a változók szakasz helyőrzőit és a --body paraméter fájlnevét a parancssorban a az rest tényleges értékekre.

   # Define your variables
   $randomIdentifier = (New-Guid).ToString().Substring(0,8)
   $subscriptionId="00000000-0000-0000-0000-000000000000"
   $resourceGroup="DocumentDB"
   $mongoClustersName="msdocscr$randomIdentifier"
   
   # Execute the az rest command to make REST API call
   az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json
   

A fürt adattitkosítási beállításainak frissítése a CMK engedélyezésével

Az ügyfél által felügyelt kulccsal adattitkosítással üzembe helyezett meglévő fürtök esetében több konfigurációs módosítást is elvégezhet. Módosíthatja azt a kulcstartót, amelyben a titkosítási kulcsot tárolják, és az ügyfél által felügyelt kulcsként használt titkosítási kulcsot. A szolgáltatás által használt felhasználó által hozzárendelt felügyelt identitást is módosíthatja a kulcstárolóban tárolt titkosítási kulcs eléréséhez.

Portál

1. A fürt oldalsávján, a Beállítások területen válassza az Adattitkosítás lehetőséget.

2. A felhasználó által hozzárendelt felügyelt identitás szakaszban válassza az Identitás módosítása lehetőséget.

   

3. A felhasználó által hozzárendelt felügyelt identitások listájában válassza ki azt, amelyet a fürt használni szeretne az Azure Key Vaultban tárolt adattitkosítási kulcs eléréséhez.

   

4. Válassza a Hozzáadás lehetőséget.

5. A Kulcsválasztási módszerben válassza a Kulcs kiválasztása lehetőséget.

6. A kulcsban válassza a Kulcs módosítása lehetőséget.

   

7. A Kulcs kiválasztása panelen válassza ki az Azure Key Vaultot a Kulcstartóban és a kulcs titkosítási kulcsát, és a Kiválasztás gombra kattintva erősítse meg a választásokat.

   

   Fontos

   A kiválasztott Azure Key Vault-példánynak ugyanabban az Azure-régióban kell lennie, ahol az Azure DocumentDB-fürt üzemel.

8. Erősítse meg a kiválasztott felhasználó által hozzárendelt felügyelt identitást és titkosítási kulcsot az Adattitkosítás lapon, majd a Mentés gombra kattintva erősítse meg a kijelöléseket, és hozzon létre replikafürtöt.

   

REST API-k

Rest API-hívással módosíthatja a felhasználó által hozzárendelt felügyelt identitást és titkosítási kulcsot egy meglévő fürt adattitkosításához.

1. Hozzon létre egy JSON-fájlt a következő tartalommal. Cserélje le a jellel $ kezdődő helyőrzőket a tényleges értékekre, és mentse a fájlt.

   {
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
             "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
           }
         },
     "location": "$regionName",
         "properties": {
           "encryption": {
             "customerManagedKeyEncryption": {
               "keyEncryptionKeyIdentity": {
                 "identityType": "UserAssignedIdentity",
                 "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
               },
               "keyEncryptionKeyUrl": "$encryptionKeyUrl"
             }
           }
         }
   }
   

   Megjegyzés:

   A keyEncryptionKeyUrl kulcsnak tartalmaznia kell a kulcs nevét, de nem tartalmazhat egy adott kulcsverziót.

2. Az alábbi Azure CLI-parancsot futtassa, hogy REST API-hívást indítson egy Azure DocumentDB-fürt létrehozása érdekében. Cserélje le a változók szakasz helyőrzőit és a --body paraméter fájlnevét a parancssorban a az rest tényleges értékekre.

   # Define your variables
   $subscriptionId="00000000-0000-0000-0000-000000000000"
   $resourceGroup="resourceGroupName"
   $mongoClustersName="clusterName"
   
   # Execute the az rest command to make REST API call
   az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json
   

Akár csak a kulcs eléréséhez használt felhasználó által hozzárendelt felügyelt identitást szeretné módosítani, vagy csak az adattitkosításhoz használt kulcsot szeretné módosítani, vagy mindkettőt egyszerre szeretné módosítani, meg kell adnia a JSON-fájlban felsorolt összes paramétert.

Ha a kulcs vagy a felhasználó által hozzárendelt felügyelt identitás nem létezik, a hibaüzenet jelenik meg.

A paraméterekként átadott identitások, ha léteznek és érvényesek, automatikusan felkerülnek az Azure DocumentDB-fürthöz társított, felhasználó által hozzárendelt felügyelt identitások listájára. Ez akkor is így van, ha a parancs később valamilyen más hibával meghiúsul.

Adattitkosítási mód módosítása meglévő fürtökön

Az egyetlen pont, ahol eldöntheti, hogy szolgáltatás által felügyelt kulcsot vagy ügyfél által felügyelt kulcsot (CMK) szeretne-e használni az adattitkosításhoz, a fürt létrehozásakor van. Miután meghozta ezt a döntést, és létrehozta a fürtöt, nem válthat a két lehetőség között. Ha az Azure DocumentDB-fürt másolatát más titkosítási beállítással szeretné létrehozni, létrehozhat replikafürtöt , vagy fürt-visszaállítást hajthat végre , és kiválaszthatja az új titkosítási módot a replikafürt vagy a visszaállított fürt létrehozása során.

Ügyfél által felügyelt kulcs (CMK) adattitkosításának engedélyezése vagy letiltása replikafürt létrehozásakor

Az alábbi lépéseket követve hozzon létre egy replikafürtöt CMK- vagy SMK-adattitkosítással a CMK engedélyezéséhez vagy letiltásához a replikafürtön.

Portál

1. A fürt oldalsávjának Beállítások csoportjában válassza a Globális elosztás lehetőséget.

2. Válassza az Új olvasási replika hozzáadása lehetőséget.

   

3. Adja meg a replikafürt nevét az Olvasás replikanév mezőben.

4. Válasszon ki egy régiót az Olvasási replika régióban. A replikafürt a kiválasztott Azure-régióban található.

   Megjegyzés:

   A replikafürt mindig ugyanabban az Azure-előfizetésben és erőforráscsoportban jön létre, mint az elsődleges (olvasási-írási) fürt.

   

5. Az Adattitkosítás szakaszban válassza ki az ügyfél által kezelt kulcsot a CMK vagy a szolgáltatás által felügyelt kulcs engedélyezéséhez a CMK letiltásához a replikafürtön.

   

6. A felhasználó által hozzárendelt felügyelt identitás szakaszban válassza az Identitás módosítása lehetőséget.

   

7. A felhasználó által hozzárendelt felügyelt identitások listájában válassza ki azt, amelyet a fürt használni szeretne az Azure Key Vaultban tárolt adattitkosítási kulcs eléréséhez.

   

8. Válassza a Hozzáadás lehetőséget.

9. A Kulcsválasztási módszerben válassza a Kulcs kiválasztása lehetőséget.

10. A kulcsban válassza a Kulcs módosítása lehetőséget.

    

11. A Kulcs kiválasztása panelen válassza ki az Azure Key Vaultot a Kulcstartóban és a kulcs titkosítási kulcsát, és a Kiválasztás gombra kattintva erősítse meg a választásokat.

    

12. Erősítse meg a kiválasztott felhasználó által hozzárendelt felügyelt identitást és titkosítási kulcsot a globális terjesztési lapon, majd a Mentés gombra kattintva erősítse meg a kijelöléseket, és hozzon létre replikafürtöt.

    

REST API-k

Ha olyan replikafürtet szeretne létrehozni, amelyben a CMK engedélyezve van ugyanabban a régióban, kövesse az alábbi lépéseket.

1. Hozzon létre egy JSON-fájlt a következő tartalommal. Cserélje le a jellel $ kezdődő helyőrzőket a tényleges értékekre, és mentse a fájlt.

   {
           "identity": {
               "type": "UserAssigned",
               "userAssignedIdentities": {
                 "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
               }
             },
         "location": "$targetRegionName",
             "properties": {
             	"createMode": "GeoReplica",
                   "replicaParameters": {
                     "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$sourceClusterName",
                     "sourceLocation": "sourceRegionName"
                   },
                   "encryption": {
                     "customerManagedKeyEncryption": {
                       "keyEncryptionKeyIdentity": {
                         "identityType": "UserAssignedIdentity",
                         "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                       },
                       "keyEncryptionKeyUrl": "$encryptionKeyUrl"
                     }
                   }
             }
       }
   

   Megjegyzés:

   A keyEncryptionKeyUrl kulcsnak tartalmaznia kell a kulcs nevét, de nem tartalmazhat egy adott kulcsverziót.

2. Futtassa a következő parancsot az Azure CLI-ben egy REST API-hívás végrehajtásához, hogy létrehozzon egy Azure DocumentDB-fürtöt. Cserélje le a változók szakasz helyőrzőit és a --body paraméter fájlnevét a parancssorban a az rest tényleges értékekre.

   # Define your variables
   $subscriptionId="00000000-0000-0000-0000-000000000000"
   $resourceGroup="resourceGroupName"
   $mongoClustersName="clusterName"
   
   # Execute the az rest command to make REST API call
   az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json
   

Ügyfél által felügyelt kulcs (CMK) adattitkosításának engedélyezése vagy letiltása a fürt visszaállítása során

A visszaállítási folyamat létrehoz egy új fürtöt, amelynek konfigurációja ugyanazzal az Azure-régióban, előfizetésben és erőforráscsoportban található, mint az eredeti. Az alábbi lépéseket követve hozzon létre egy visszaállított fürtöt, amelyen engedélyezve van a CMK vagy az SMK.

Portál

1. Válasszon ki egy meglévő Azure DocumentDB-fürtöt.

2. A fürt oldalsávján, a Beállítások területen válassza a Pont időponthoz kötött visszaállítás lehetőséget.

3. Válasszon ki egy dátumot, és adja meg az időt (UTC időzónában) a dátum és az idő mezőben.

   

4. Adja meg a fürt nevét a Célfürtnév visszaállítása mezőben.

   

5. Adja meg a visszaállított fürt rendszergazdai nevét a Rendszergazda felhasználónév mezőben.

6. Adja meg a rendszergazdai szerepkör jelszavát a Jelszó és a Jelszó megerősítése mezőben.

   

7. Az Adattitkosítás szakaszban válassza ki az ügyfél által kezelt kulcsot a CMK engedélyezéséhez. Ha le kell tiltania a CMK-t a visszaállított fürtön, válassza a Szolgáltatás által felügyelt kulcsot.

   

8. A felhasználó által hozzárendelt felügyelt identitás szakaszban válassza az Identitás módosítása lehetőséget.

   

9. A felhasználó által hozzárendelt felügyelt identitások listájában válassza ki azt, amelyet a fürt használni szeretne az Azure Key Vaultban tárolt adattitkosítási kulcs eléréséhez.

   

10. Válassza a Hozzáadás lehetőséget.

11. A Kulcsválasztási módszerben válassza a Kulcs kiválasztása lehetőséget.

12. A kulcsban válassza a Kulcs módosítása lehetőséget.

    

13. A Kulcs kiválasztása panelen válassza ki az Azure Key Vaultot a Kulcstartóban és a kulcs titkosítási kulcsát, és a Kiválasztás gombra kattintva erősítse meg a választásokat.

    

14. Válassza a Küldés lehetőséget a fürt visszaállításának elindításához.

REST API-k

Ha olyan fürtöt szeretne visszaállítani, amelyen engedélyezve van a CMK, kövesse az alábbi lépéseket.

1. Hozzon létre egy JSON-fájlt a következő tartalommal. Cserélje le a jellel $ kezdődő helyőrzőket a tényleges értékekre, és mentse a fájlt.

   {
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
             "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
           }
         },
     "location": "$regionName",
         "properties": {
               "administrator": {
                 "userName": "$adminName"
               },
         	"createMode": "PointInTimeRestore",
               "restoreParameters": {
                 "pointInTimeUTC": "yyyy-mm-ddThh:mm:ssZ",
                 "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$restoredClusterName"
               },
               "encryption": {
                 "customerManagedKeyEncryption": {
                   "keyEncryptionKeyIdentity": {
                     "identityType": "UserAssignedIdentity",
                     "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                   },
                   "keyEncryptionKeyUrl": "$encryptionKeyUrl"
                 }
               }
         }
   }
   

   Megjegyzés:

   A keyEncryptionKeyUrl kulcsnak tartalmaznia kell a kulcs nevét, de nem tartalmazhat egy adott kulcsverziót.

2. Futtassa a következő Azure CLI-parancsot egy REST API-híváshoz egy Azure DocumentDB-fürt létrehozásához. Cserélje le a változók szakasz helyőrzőit és a --body paraméter fájlnevét a parancssorban a az rest tényleges értékekre.

   # Define your variables
   $subscriptionId="00000000-0000-0000-0000-000000000000"
   $resourceGroup="resourceGroupName"
   $mongoClustersName="clusterName"
   
   # Execute the az rest command to make REST API call
   az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json
   

A visszaállított fürt létrehozása után tekintse át a visszaállítás utáni feladatok listáját.

Kapcsolódó tartalom

• Tudnivalók az azure DocumentDB inaktív adattitkosításáról
• CMK beállításának hibaelhárítása
• A CMK korlátozásai
• Adatok migrálása az Azure DocumentDB-be